CIS 7 - piaskownica

Jakiś czas temu zainstalowałem u znajomej CIS 7, wyłączyłem HIPS (aby jej nie denerwować) i włączyłem automatyczne uruchomianie nierozpoznanych aplikacji w piaskownicy, którą ustawiłem na pełną wirtualizację. Ostatnio zerknąłem w logi i okazało się, że CIS natrafił na taki plik - Candy coś-tam, i uruchomił go w piaskownicy. Włączyłem skanowanie Malware Antimalware i okazało się, że Candy wylazł z piaskownicy i elegancko był sobie zainstalowany w systemie :embarassed:

Czy ta piaskownica działa?

Trzeba było dokładnie sprawdzić ścieżki wykrytych plików - prawdopodobnie był w kontenerze.
Ponadto, koleżanka mogła odpowiedzieć na alert przy uruchamianiu instalatora “zezwól”. Na forum jest przyklejony temat jak poprawnie skonfigurować takim osobom CIS.

Skanowanie trzeba robić po zresetowaniu piaskownicy (wirtualizacja) lub po usunięciu związanych z infekcją, nierozpoznanych plików (limitowanie).
Piaskownica Comodo z wirtualnym pulpitem, jak również automatyczna piaskownica, są bardzo szczelne, ale niedoskonałe. Dotyczy to w szczególności systemów Windows x64. Jeśli chcesz bawić się wirusami, to zainstaluj wirtualną maszynę, najlepiej na Linuksie.

morphiusz - Pominąłeś pewną drobnostkę, CIS7 (co do wcześniejszych wersji pewności nie mam) przy włączonej “automatycznej piaskownicy” i wyłączonym HIPS nie pyta tylko informuje o uruchomieniu programu w piaskownicy - https://dl.dropboxusercontent.com/u/59576095/Zrzut%20ekranu%20(15).png - przed instalację u znajomej dokładnie to obadałem, tylko po wykryciu nierozpoznanej aplikacji wyświetla informację, przy kolejnych uruchomieniach nie ma żadnego monitu dopóki plik jest na liście “nierozpoznanych”. Jest bardzo mało prawdopodobne aby ktoś dodał plik do “zaufanych”. Logi ze skanu gdzieś chyba są (przynajmniej mam taką nadzieję), jeśli nie zapomnę to sprawdzę ścieżki i napiszę.

omkar - Nie bawię się wirusami, a już na pewno nie na komputerach należących do innych osób.

Czy przed skanowaniem usunąłeś nierozpoznane pliki związane z infekcją. Tutaj jest test przy włączonej automatycznej piaskownicy na najniższym poziomie i możesz zobaczyć jak to się robi: https://forums.comodo.com/polski-polish/aktualne-testy-comodo-internet-security-t59755.0.html;msg747217#msg747217

Wyłączony HIPS nie informuje. Informacje są od automatycznej piaskownicy i oczywiście dotyczą jedynie limitowanych - nierozpoznanych plików.

W przypadku niezaawansowanych użytkowników najlepiej ustawić autosandbox na poziomie “blokowane” po wcześniejszym skanowaniu bezpieczeństwa plików oraz po uruchomieniu wszystkich mniej znanych aplikacji zainstalowanych w systemie.

Pamiętajcie, że bez względu na to, czy hips jest włączony/wyłączony i jak jest ustawiona piaskownica (“Uruchamiaj jako…”) to CIS pyta czy chcesz uruchomić nieznany instalator z ograniczeniami (w piasku) czy bez ograniczeń. Pewnie jakiś instalator przemycił tutaj coś :slight_smile:

Są trzy opcje: uruchomienie w automatycznej piaskownicy (większości programów nie można zainstalować poprawnie nawet na najniższym poziomie), normalna instalacja i blokowanie. Jeżeli ktoś wybierze normalną instalację, to pliki instalują się poza auto-sandboxem. Nie dotyczy to jednak poziomu ochrony automatycznej piaskownicy - “blokowane”. Na tym poziomie nie ma pytań (komunikatów). Wszystkie nierozpoznane pliki są blokowane. Dopiero o przeniesieniu ich do zaufanych, zostają odblokowane.

Tak jak widać na zamieszczonym przeze mnie powyżej obrazku CIS z wyłączonym HIPS i włączoną piaskownicą nie pyta a jedynie informuje, sprawdziłem to osobiście na dwóch komputerach (Win8x64 i Win7x64). Nie ma zatem możliwości odruchowego kliknięcia jakiegoś przycisku.

Ostatnio próbowałem czegoś takiego z powodzeniem, ale lepszym rozwiązaniem jest instalacja w “wirtualnym pulpicie” - nawet ikonkę na pulpicie wstawi :slight_smile:

Poza tym… omkar, nie przesadzaj :wink:


Logi znalazlem - Malware Antimalware usunął trzy foldery i jeden plik w lokalizacji Users\usuario\AppData\Roaming. Dobra wiadomość jest taka, że ten plik to instalator, czyli instalacja chyba nie została faktycznie przeprowadzona.

Oczywiście, że testować najlepiej na wirtualnym pulpicie o czym piszę w tym temacie: https://forums.comodo.com/polski-polish/konfiguracja-comodo-internet-security-t60227.0.html

Z niczym nie przesadzam. Po prostu limitowanie w auto-sandboxie utrudnia w pełni poprawną instalację wielu aplikacji, dzięki czemu nie dochodzi do głębokiej infekcji i jest potem możliwość usunięcia szkodliwych plików nierozpoznanych.

To że instalator to właśnie nie dobrze. Wszystko zależy od tego, czy wybrano opcję normalnej instalacji, czy w automatycznej piaskownicy. Jeżeli to drugie, to wystarczy usunąć nierozpoznane pliki związane z wirusem. Skanowanie MBAM nie było konieczne.

Nie o testowaniu pisałem ale o instalacji programu potrzebnego na chwilę, nie trzeba potem odinstalowywać ani nie pozostawia po sobie żadnych śmieci (a większość programów sporo syfu zostawia).

Mój tok rozumowania - skoro to był tylko instalator a nie utworzone przez niego pliki to znaczy, że program nie został zainstalowany w systemie, być może został zainstalowany w piaskownicy lub po prostu instalacja z jakiegoś powodu nie odbyła się. Skoro MBAM wykrył jakikolwiek ślad niepożądanego oprogramowania to znaczy, że skan był potrzebny. Co do wyboru, skonfiguruj sobie CIS7 tak jak pisałem powyżej (wyłączony HISP i włączona piaskownica) i zobacz czy o cokolwiek pyta użytkownika.
!ot!

Z tym “przesadzaniem” chodziło mi raczej o sposób w jaki wyjaśniasz (mi?) możliwości konfiguracji piaskownicy. Jakoś tam sobie składam literki, potem wyrazy, dalej zdania… nie narzekam na problemy ze zrozumieniem tego zestawienia ;D

" Co do wyboru, skonfiguruj sobie CIS7 tak jak pisałem powyżej (wyłączony HISP i włączona piaskownica) i zobacz czy o cokolwiek pyta użytkownika."

Próbowałem bardzo wielu konfiguracji, w tym także na wirusach.
Oczywiście, że pyta z wyjątkiem opcji “blokowane”. Przy każdej próbie instalacji nowego, nierozpoznanego programu jest pytanie, o czym wcześniej była mowa.

W takim razie musiałem pobrać jakąś wyjątkową wersję CIS7, bo nie pyta tylko informuje przy wspomnianej konfiguracji :wink:

Masz odznaczoną opcję w auto-sandboxie “Pokaż ostrzeżenia o żądaniach zwiększonych uprawnień dla nieznanych programów”. Takie rozwiązanie automatycznie pakuje nierozpoznane instalatory do automatycznej piaskownicy, co jednak utrudnia prawidłową instalację wielu aplikacji i nie zapewnia najwyższej skuteczności w ochronie. Auto-piaskownica na niższych poziomach ustawień nie blokuje wielu ataków i czasem przepuszcza fragmenty infekcji do systemu. Ale dla niedoświadczonych użytkowników, którzy muszą instalować mniej znane aplikacje, to jest dobre rozwiązanie, ponieważ nie dopuszcza do całkowitej infekcji i daje w dużym stopniu możliwość jej usunięcia (skasowanie plików nierozpoznanych).

Mam zaznaczoną tę opcję, ale nawet jej odznaczenie czy wyłączenie nadrzędnej (“Wykrywaj programy, które wymagają zwiększonych uprawnień…”) nic nie zmienia - wyświetlana jest jedynie informacja.

EDIT:

W załączeniu zapis testu dokonany windowsowskim rejestratorem problemów.

[attachment deleted by admin]

Zrób sobie Norbo ten test: Test My PC Security

omkar, jeszcze trochę i uznam, że jesteś botem - wyłapujesz “słowo kluczowe” i coś odpisujesz, a czy ma to jakikolwiek sens wydaje się nie mieć dla ciebie znaczenia :wink:

Ten załączony przeze mnie plik to zapis testu reakcji CIS7 na uruchomienie nierozpoznanego pliku.


A ten test, który proponujesz jest dostępny na stronie Comodo - http://download.comodo.com/securitytests/CLT.zip

Uruchmienie CLT.exe powinno wygenerować alert (z prośbą o podjęcie decyzji). Jesli jest inaczej - zmiany w konfiguracji były robione :stuck_out_tongue:

Acha, przy włączonej opcji “Wykrywaj programy, które wymagają zwiększonych uprawnień…” wyświetla zapytanie, przy wyłączonej tylko informację. Czyli (przy włączonej wspomnianej opcji) reakcja jest zależna od oceny uruchamianego programu, ja używałem pustej aplikacji (kompilacja szablonowego programu) - mój błąd. Zakładam, że to “candy cośtam” żądało zwiększonych uprawnień… czyli takie ustawienia nie są w pełni bezpieczne, jak zatem skonfigurować CIS7 aby nierozpoznane aplikacje były zawsze uruchamiane w piaskownicy, bez możliwości podjęcia pochopnej decyzji?

Acha (2), przy wyłączonej opcji “Pokaż ostrzeżenia o żądaniach zwiększonych uprawnień…” CIS7 o nic nie pyta. Prościej, można wyłączyć opcję “Wykrywaj programy, które wymagają zwiększonych uprawnień…” i wszystkie nierozpoznane programy będą uruchamiane w piaskownicy, bez oceny uprawnień jakich się domagają. Cholera, jakieś kłopoty z komunikacją mamy… To może na poczet przyszłych zapytań klarowna odpowiedź:

Aby wszystkie nierozpoznane programy były automatycznie uruchamiane w piaskownicy należy:

  • wyłączyć HIPS
  • włączyć blokadę zachować (w dowolnym trybie z wyjątkiem “Blokowanie”)
  • odznaczyć opcję “Wykrywaj programy, które wymagają zwiększonych uprawnień…” (bo po co zajmować czas procesora skoro rezultaty oceny nie mają być używane?)

Przy wyborze trybu “Wirtualizowanie” blokady zachowań jest to rozwiązanie bardzo bezpieczne.


Mam jeszcze takie pytanie: w jaki sposób można uruchomić program zainstalowany (automatycznie) w piaskownicy? Instalowałem pewien program (używając opcji uruchomienia w piaskownicy z menu prawokliku) i nie tworzy on skrótu na pulpicie. Rozwiązanie znalazłem (doraźne) instalacja w trybie wirtualnego pulpitu, tam pojawia się skrót (ale konieczne jest wcześniej umieszczenie instalatora lub skrótu do niego na pulpicie bo nie można przeglądać zawartości dysku). Czy można to rozwiązać w inny sposób?

Niepotrzebnie się Norbo denerwujesz. Proaktywno - sieciowy test CLT pokazuje jak dana konfiguracja spisuje się w ochronie. Wynik maksymalny można osiągać przy wyłączonej automatycznej piaskownicy i ustawionym HIPS przynajmniej na poziomie “czystego PC”, lub przy włączonym auto-sandboxie na poziomie wysokim (zaufane) lub najwyższym - “blokowane”. Firewall musi mieć odznaczone nie wyświetlanie komunikatów.

Nie można mieć dostępu do instalowanego programu w piaskownicy poza wirtualnym pulpitem, a dostęp do zawartości folderów jest możliwy tylko, po zainstalowaniu całego pakietu CIS. W firewallu nie ma tego dostępu, a wiele programów jak dla przykładu Office 2010 się nie uruchamia. Nie wiem, czy jest to zmniejszenie uprawnień ze względów bezpieczeństwa, czy kara za niezainstalowanie całego pakietu? Założyłem jakiś czas temu temat z tym związany: https://forums.comodo.com/polski-polish/bug-w-wirtualnym-pulpicie-comodo-firewalla-t103153.0.html;msg750376#msg750376

W Sandboxie nie ma większego problemu z uruchomieniem aplikacji zainstalowanej w piaskownicy. Jednak używanie dwóch tego typu programów równocześnie jest pozbawione sensu.

!ot!
Ja się nie denerwuję, po prostu albo mój mózg ignoruje przekazywane informacje albo wy nie potraficie ich przekazać. Ale może jestem nieco drażliwy z przemęczenia, i bynajmniej nie z powodu wykonywania “gówno wartych prac” (aby zrozumieć to określenie skorzystaj z google).